Перейти к содержимому


Фото
- - - - -

Троян Маячок.1 На Windows 7

Автор WinJ , окт 03 2011 17:07

  • Please log in to reply
63 ответов в этой теме

#1 WinJ

WinJ

    Newbie

  • Posters
  • 82 Сообщений:

Отправлено 03 Октябрь 2011 - 17:07

Доктор находит и нейтрализует процесс в памяти, Сначала этот процесс был связан с программой Vtune.exe, после отключения автозапуска Vtune Стал детектироваться в процессе LClock.exe. При полной проверке из-под LiveCD были вычищены какие-то нежелательные файлы, вряд ли имеющие отношение к данной проблеме.
Логи делал Cureit:
Прикрепленный файл  cureit-results.cab   229,24К   11 Скачано раз
DrwebSysinfo:
Прикрепленный файл  USS_user_031011_185411.zip   8,02Мб   4 Скачано раз
А вот Хайджек и РкУ ничего сделать не смогли:
Прикрепленный файл  HiJack.jpg   199К   24 Скачано раз
Прикрепленный файл  RkU.jpg   23,97К   12 Скачано раз
Если бы лошади верили в Бога, их Бог был бы похож на лошадь. /Вольтер/

#2 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 03 Октябрь 2011 - 17:26

вы что не от админа запускали?
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#3 WinJ

WinJ

    Newbie

  • Posters
  • 82 Сообщений:

Отправлено 03 Октябрь 2011 - 17:27

От админа
Если бы лошади верили в Бога, их Бог был бы похож на лошадь. /Вольтер/

#4 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 03 Октябрь 2011 - 17:30

врядли....Правой кнопкой запустить от
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#5 WinJ

WinJ

    Newbie

  • Posters
  • 82 Сообщений:

Отправлено 03 Октябрь 2011 - 17:35

Попробую. Хотя здесь только одна учётная запись пользователя.
Если бы лошади верили в Бога, их Бог был бы похож на лошадь. /Вольтер/

#6 WinJ

WinJ

    Newbie

  • Posters
  • 82 Сообщений:

Отправлено 03 Октябрь 2011 - 18:34

врядли....Правой кнопкой запустить от

Прикрепленный файл  cureit-results.cab   229,8К   2 Скачано раз
Прикрепленный файл  USS_user_031011_210931.zip   8,16Мб   4 Скачано раз
К сожалению, Хайджек и РкУ отработали как прежде.
А если их запустить в безопасном режиме, это что-нибудь даст?
Если бы лошади верили в Бога, их Бог был бы похож на лошадь. /Вольтер/

#7 Ko6Ra

Ko6Ra

    Supporter

  • Posters
  • 3 308 Сообщений:

Отправлено 03 Октябрь 2011 - 19:58

Покажите, пожалуйста, экспорт ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows

ыЫ

#8 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 03 Октябрь 2011 - 20:02

Покажите, пожалуйста, экспорт ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows

так в логе же должен быть
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#9 Ko6Ra

Ko6Ra

    Supporter

  • Posters
  • 3 308 Сообщений:

Отправлено 03 Октябрь 2011 - 20:06

Покажите, пожалуйста, экспорт ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows

так в логе же должен быть

Я откровенно говоря не знаю собираем ли мы Wow6432Node. Как-то не было повода проверить.

ыЫ

#10 WinJ

WinJ

    Newbie

  • Posters
  • 82 Сообщений:

Отправлено 03 Октябрь 2011 - 20:23

Смогу это сделать завтра. Сейчас я уже далеко от заражённого компа.
Если бы лошади верили в Бога, их Бог был бы похож на лошадь. /Вольтер/

#11 WinJ

WinJ

    Newbie

  • Posters
  • 82 Сообщений:

Отправлено 05 Октябрь 2011 - 16:20

Прикрепленный файл  Wow6432Node.rar   568байт   13 Скачано раз
Если бы лошади верили в Бога, их Бог был бы похож на лошадь. /Вольтер/

#12 WinJ

WinJ

    Newbie

  • Posters
  • 82 Сообщений:

Отправлено 05 Октябрь 2011 - 16:34

Файла C:\Windows\system32\ylgzbbd.dll не нахожу.
Если бы лошади верили в Бога, их Бог был бы похож на лошадь. /Вольтер/

#13 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 05 Октябрь 2011 - 16:37

Файла C:\Windows\system32\ylgzbbd.dll не нахожу.

Far'ом посмотрите
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#14 WinJ

WinJ

    Newbie

  • Posters
  • 82 Сообщений:

Отправлено 05 Октябрь 2011 - 16:56

Far не установлен, WinRARом увидел, сразу и "связал"
http://www.virustotal.com/file-scan/report.html?id=3e01ff35080da35f52ee8eeb4ffbaf71d926e1dcb6427d99e39362a884a07123-1317822574
Если бы лошади верили в Бога, их Бог был бы похож на лошадь. /Вольтер/

#15 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 05 Октябрь 2011 - 16:59

В вирлаб его.
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#16 WinJ

WinJ

    Newbie

  • Posters
  • 82 Сообщений:

Отправлено 05 Октябрь 2011 - 17:04

Уже. Жду тикет.
Если бы лошади верили в Бога, их Бог был бы похож на лошадь. /Вольтер/

#17 WinJ

WinJ

    Newbie

  • Posters
  • 82 Сообщений:

Отправлено 05 Октябрь 2011 - 17:13

Вне сомнений, это он. Сейчас уже вышел в Интернет в обычном режиме, маячок в памяти больше не детектируется. Спасибо за помощь, тему можно закрывать.
Если бы лошади верили в Бога, их Бог был бы похож на лошадь. /Вольтер/

#18 Ko6Ra

Ko6Ra

    Supporter

  • Posters
  • 3 308 Сообщений:

Отправлено 05 Октябрь 2011 - 22:55

Тему-то можно закрывать, только давайте дождемся детекта для успокоения совеести.
А вот почему наш всеми любимый dwsysinfo не собирает нативную 64-ю ветку реестра - вопрос. Надо бы фтрекере чиркнуть про это...

ыЫ

#19 WinJ

WinJ

    Newbie

  • Posters
  • 82 Сообщений:

Отправлено 05 Октябрь 2011 - 23:13

#2700930
5 октября 2011, 18:37
Ваш запрос был обработан Автоматической Системой. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.
Угроза: Trojan.Mayachok.1

Однако...
Жаль, не могу проверить файл: удалил сразу после отправки в вирлаб.
Если бы лошади верили в Бога, их Бог был бы похож на лошадь. /Вольтер/

#20 WinJ

WinJ

    Newbie

  • Posters
  • 82 Сообщений:

Отправлено 05 Октябрь 2011 - 23:18

Trojan.Mayachok.1 действительно давно известен, но cureit даже при полной проверке с liveCD, запущенный с удалённым реестром, ничего не находил. Видимо, в памяти-то он тот же, а вот файл, его порождающий, может не детектироваться.
А вы можете проверить этот файл сейчас?
Если бы лошади верили в Бога, их Бог был бы похож на лошадь. /Вольтер/
Назад к Помощь по лечению
  1. Dr.Web forum
  2. Русские форумы
  3. Антивирусная лаборатория
  4. Помощь по лечению
  5. Privacy Policy
  6. Terms & Rules ·